eeebid Szolgáltató Kft.
Informatikai biztonsági szabályzat ITBSZ-01
Információ védelmi osztály: Publikus
Kibocsátó: eeebid Kft. Hitelesítı: Szabados László, ügyvezetı Dátum: 2008.05.15
Informatikai biztonsági szabályzat
Tartalomjegyzék 1.
Bevezetés........................................................................................................................3
2.
A szabályzat célja, tárgya................................................................................................3
3.
Emberi erıforrással kapcsolatos biztonsági intézkedések ................................................4 3.1
4.
Feladat és felelısségi körök az informatikai biztonság területén ...............................4
Informatikai eszközök és adathordozók...........................................................................4 4.1
Fizikai környezet......................................................................................................4
5.
Hálózat menedzsment .....................................................................................................6
6.
Hordozható eszközök használata.....................................................................................7
7.
Jelszókezelés, hozzáférhetıség........................................................................................8
8.
Mentések, archiválások...................................................................................................9
9.
Elektronikus levelezés ..................................................................................................10
10.
Vírusvédelem.............................................................................................................10
11.
Fogalmak, rövidítések................................................................................................11
12.
Vonatkozó jogszabályok ............................................................................................12
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
2/12
Informatikai biztonsági szabályzat
1. Bevezetés Az eeebid Szolgáltató Kft. élenjáró információtechnológiai alapú megoldásokat szállító és professzionális tanácsadókból álló beszerzési társaságként funkciónál. Küldetésünk a partnereinknél történı vállalati kiadáskezelés optimalizálása a stratégiai- és operatív beszerzési folyamatok innovatív fejlesztése által, megtakarítások realizálása és a beszerzési kultúra magasabb szintre emelése. Az eeebid cégcsoport hazai láncszeme, az eeebid Szolgáltató Kft., 2001. február 26-án budapesti székhellyel került bejegyzésre a Fıvárosi Bíróság Cégbíróságán. Az alapítás óta közép-, kelet-Európa piacvezetı Spend Management megoldások szállítójává fejlıdtünk. Innovatívan megoldásaink és szolgáltatásaink magas színvonalon történı ellátása miatt a világ vezetı vállalatcsoportjai választottak minket partnerül Európa- és Ázsia-szerte. Az eeebid Kft. a szolgáltatás minıségének fejlesztése érdekében, valamint a vevıi bizalom megnyerésére, és növelésére és a jogszabályi követelményeknek való megfelelés érdekében vezette be a minıség– és információbiztonsági rendszert. A rendszer dokumentumainak szerves részét képezi az informatikai biztonsági szabályzat, ami kifejezetten az informatikai rendszer biztonsági és üzemeltetési folyamatainak kialakításakor figyelembe vett szempontrendszert, szabályokat foglalja össze. 2. A szabályzat célja, tárgya Az Informatikai Biztonsági Szabályzat (a továbbiakban: ITBSZ) olyan normarendszer, amely az eeebid Kft. informatikai rendszerének biztonságos mőködtetésének szempontrendszerét tartalmazza. A szabályzat a szervezet információbiztonsági politikájában jelzett irányelveket követi. Amíg a biztonságpolitika egy magasabb szintő, fıleg vezetıi döntéseket és alapelveket megfogalmazó dokumentum, addig az Informatikai Biztonsági Szabályzat olyan alacsonyabb szintő normarendszer, amely a szempontokat határozza meg. A szabályzat hármas tagozódású, személyi hatályát tekintve: elsı körben az eeebid Kft. valamennyi munkatársára kiterjed, továbbá minden személyre, aki az eeebid Kft. által nyújtott szolgáltatás során az eeebid cégcsoport szoftveres, hardveres hálózati elemeit használják. Tárgyi hatálya érvényes a Kft. fizikai, infrastrukturális eszközeire, technológiai értelemben a folyamataira is amelyek az eeebid Kft. telephelyén zajlanak. Tevékenységi hatálya az eeebid Kft. által végzett beszerzéssel kapcsolatos szolgáltatások (elektronikus árlejtés) teljes körére. Az Információbiztonság Irányítási Rendszer tartalmaz olyan információkat, amelyek információbiztonsági besorolása nem a „publikus” kategóriába esik, így az ezzel kapcsolatos eljárásokat a rendszer egyéb vonatkozó szabályzatai, eljárásai tartalmazzák, amelyeket meghivatkozunk az Alkalmazhatósági Nyilatkozatban.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
3/12
Informatikai biztonsági szabályzat
3. Emberi erıforrással kapcsolatos biztonsági intézkedések 3.1 Feladat és felelısségi körök az informatikai biztonság területén Az eeebid Kft.-nél az informatikai biztonsággal összefüggı feladatokat és felelısségi köröket az ügyvezetı határozza meg. Az ITBSZ szerinti informatikai irányelveknek meg kell jelenniük a munkaköri leírásokban. A munkaköri leírások biztonsággal kapcsolatos részeinek kidolgozása során mérlegelni kell az adott munkatárs érintettségét. Munkakörébıl fakadóan az ügyvezetı felelıs az informatikai biztonság megvalósulásáért, İ jelöli ki az egyes tevékenységekért felelıs személyeket, többek között a minıség-és információbiztonság irányítási vezetıt. (MIV) A kijelölésen túl joga van a munkatársakat elszámoltatni az informatikai biztonsággal összefüggésben. Az ügyvezetınek intézkedési joga van, és döntési kötelezettsége az informatikai incidensek, és haváriák elkerülése érdekében, esetleges bekövetkezésükkor a mielıbbi helyreállítás és a károk felszámolását illetıen. Az ügyvezetınek még az ITBSZ megsértésének gyanúját is ki kell vizsgálni. Minden munkatársnak, akik természetszerően az informatikai rendszer használói titoktartási nyilatkozatot kell aláírnia, melyben nyilatkozik, hogy a munkája, tevékenysége során tudomására jutott, az eeebid Kft. számára értéket jelentı információt sem jogviszonya fennállása idején, sem annak megszőnése után nem hozza harmadik fél tudomására. A munkatársak és a szervezet vezetése folyamatos az informatikai és az információ biztonsággal kapcsolatos képzésben részesül, fenntartva és fejlesztve az ilyen irányú tudásukat és a tudatosságukat. Valamennyi munkatárs alkalmazza a „tiszta asztal, tiszta képernyı” elvét, hosszabb munkaszünetekben, munkaidı végén üresen hagyja az asztalát kijelentkezik a számítógéprıl. A Kft. partnereire minden esetben vonatkozik a velük kötött szerzıdés informatikai és az információ biztonsággal, titoktartással összefüggı fejezete. Az egyes munkakörökkel kapcsolatos további elıírások a MIE-02 eljárásban vannak rögzítve. 4. Informatikai eszközök és adathordozók Az eszközök elhelyezésénél figyelembe kell venni a biztonsági követelményeket, törekedni kell arra, hogy a természeti hatásokból, a fizikai környezet változásaiból eredı kockázatok minimálisak legyenek. Megfelelı fizikai környezet megakadályozza a jogosulatlan hozzáférést is az informatikai eszközökhöz. 4.1 Fizikai környezet Az eeebid Kft. elhelyezkedése és megközelítése során egy hármas biztonsági zónával rendelkezik: • az utcán, több helyen biztonsági kamerák figyelik a járókelıket,
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
4/12
Informatikai biztonsági szabályzat • az iroda a harmadik emelten van a kapun kóddal lehet bejönni, • az iroda biztonsági ajtóval zárható, a folyosó felöli ablakokon rács van, ami véd a behatoló ellen. Az eeebid Kft. olyan munkakörnyezetet alakított ki ahol idegenektıl védetten helyezkednek el az informatikai eszközök, az adott helyiségekbe csak a munkatársak jelenlétében szabad belépni és ott tartózkodni. Az irodában sem adathordozókat (nyomtatott és elektronikus), sem eszközöket ırizetlenül hagyni nem szabad Az eszközöket a strukturált hálózat szabályainak és a helyi sajátosságok figyelembe vett adottságainak megfelelıen helyezték el. A különbözı fizikai, környezeti hatások, egyéb események, amelyek az eeebid Kft. informatikai rendszerére hatással lehetnek: • • • • • • • •
lopás, tőz, robbanás, füst, vízbetörés, áramellátás zavara, megszakadása, por, természeti katasztrófa.
A fizikai környezet hatásait, azokból fakadó veszélyeket a kockázatkezelés során figyelembe kell venni, erre vonatkozó szabályozást a MIE-07 (ISMS kialakítása, irányítása) eljárás tartalmazza. Védett helyiségekben tilos a dohányzás. Az informatikai eszközöket védeni kell az áramellátás zavaraiból, megszakadásából származó, biztonsági problémát okozó mőködés ellen. Az alkalmazott áramellátás kialakításánál tekintetbe kell venni az eszköz gyártójának elıírásait, a szükséges rendelkezésre állás mértékét és az anyagi lehetıségeket. Az áramellátás, valamint az internet szolgáltatás megszőnésén kívül más a közmőszolgáltatással összefüggı veszély nem fenyegeti az eeebid Kft. eszközeit. Az egyes informatikai eszközök vezetékes összekötetését csak az eeebid Kft. telephelyén belül kell végezni. A kábelbiztonsággal összefüggésben információ biztonsági intézkedésekre és további szabályozásokra akkor lesz szükség, ha telephelyen kívül mennek olyan kábelek, amihez hozzáférve sérülhet az információ biztonsági elv. A biztonsági követelmények (rendelkezésre állás, sértetlenség) teljesítése érdekében az eszközök rendszeres karbantartásáról gondoskodni kell.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
5/12
Informatikai biztonsági szabályzat
• A gyártó ajánlásainak figyelembe vételével, illetve a szoftver frissítés szempontjainak figyelembevételével kell a karbantartást végezni. • A karbantartást és a szükséges javítási munkákat csak arra felhatalmazott személy végezheti. • A hibákat és rendszerleállásokat és a tervezett karbantartási munkákat dokumentálni kell. A rendelkezésre állás érdekében az eeebid Kft. szerveréhez szünetmentes áramforrás kapcsolódik, amely a váratlan energia kimaradások esetén képes az összeomlás és az adatvesztés megakadályozására. A számítógépek és a közvetlen informatikai hálózat karbantartására, javítására az eeebid Kft. körültekintıen kiválasztott és a feladatai ellátására alkalmas alvállalkozót foglalkoztat. A már felesleges és a megırzési idıt meghaladó adathordozókat meg kell semmisíteni, olyan módon, hogy az olvashatatlan legyen, az ilyen adathordózókat csak körültekintéssel szabad selejtezni, figyelembe véve a veszélyes hulladék voltát. Informatikai és információt hordozó berendezéseket a telephelyen kívül csak kivételes esetben helyezünk illetve tartunk, kivétel ez alól a hordozható eszközök, lásd: 6. pont. Amennyiben mégis szükség lenne erre, lehetıleg távolítsuk el az adathordozót eszközökbıl illetve hasonlóan járjunk el, mint a hordozható eszközök esetében. Az eltávolítható adathordozók kezelésére amennyiben azok a telephelyen kívülre kerülnek a hordozható eszközök szabálya vonatkozik. 5. Hálózat menedzsment Az eeebid Kft. saját belsı hálózatott mőködtet egy szerver segítségével. A Kft. hálózatának mőködését felügyelik és naplózzák az egyes eseményeket, majd átvizsgálják a napló fájlokat, hibaelhárítást alkalmaznak a hálózat biztonságának folyamatos fenntartására és idıközönként az egyes kliens gépek hibajavítását is ellátják. A naplózás során rögzíteni kell: • • • • •
a rendszer leállását és újraindulását, a rendszerben fellépı hibákat, incidenseket, felhasználó bejelentkezését, vagy sikertelen bejelentkezési kísérleteket, tranzakció végrehajtását, új felhasználó felvételét, törlését
A belsı hálózaton kívül a szerveren keresztül valamennyi kliensgép az Internet hálózathoz is csatlakozik. Az eeebid Kft. telephelyének hálózatát az Internettıl tőzfal funkciójú eszközök választják el. A tőzfalak szabályrendszereinek kialakítása a telephelyi adottságok figyelembevételével, a tőzfal beállításainak folyamatos karbantartása, a naplók elemzése, a szükséges intézkedések megtétele rendszeresen megtörténik.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
6/12
Informatikai biztonsági szabályzat
A Kft. rendelkezik hardveres és szoftveres tőzfal eszközökkel, amelyek növelik a hálózat és a hozzáférések biztonságát.
Az eeebid rendszere megfelel a legmagasabb követelményeknek, amelynek fıbb jellemzıi: • • • • • • • •
128 bites SSL titkosítású adatcsere minden tranzakcióra, jelszóra, stb. flexibilis jelszó szabályok, pl. automata lejárati idı, erıs jelszavak, stb. teljes 24x7 mőködés, 99,8% rendelkezésre állás titkosított Adatbázis Területek Aktív Támadás Monitoring Aktív Védelmi Mechanizmusok Kéthelyő Tüzfal Védelem különbözı technikai alapokon Abszolút bıséges rendszer felépítés (kéthelyő tőzfal, kéthelyő szerverek, kéthelyő energia-ellátás, másodlagos energia-ellátás,) • Óránkénti Biztonsági Másolat készítésre lemezre különbözı rendszereken keresztül
6. Hordozható eszközök használata A hordozható eszközök kategóriájába különbözı eszközök tartoznak: • Hordozható számítógépek (laptop) • Mobiltelefonok • Adathordozók (Pen-Drive, stb.) A hordozható eszközhasználat szabályai: • A védettnek minısített (bizalmas és belsı használatú) információkat hordozható eszközön nem szabad titkosítás nélkül tárolni. • Az információk biztonsági besorolása során meghatároztuk, hogy melyeket lehet és melyeket nem lehet mobil eszközön tárolni. • A hordozható számítógépen nem szabad megjegyzett jelszavakat használni még a levelezı programban sem. • Valamennyi biztonsági lehetıségét használni kell a mobíl eszköznek (rendelkezhetnek olyan biztonsági eszközökkel, mint intelligens-kártya olvasó, vagy ujjlenyomatolvasó.) • Az olyan, mobil eszközökre jellemzı és potenciális kockázatot jelentı vezeték nélküli szolgáltatásokat, mint a Bluetooth, vagy a WiFi, megfelelıen kell biztosítani és a használatot követıen ki kell kapcsolni. Papír alapú információhordozók: A papír alapú információ hordozókat tartalmuk alapján információ védelmi osztályba soroljuk. Az információ védelmi osztályozást a MIE-07-es eljárás 4.3 pontja írja le. A nem publikus minısítéső papír alapú dokumentumokat zárható szekrényben kell tartani.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
7/12
Informatikai biztonsági szabályzat
7. Jelszókezelés, hozzáférhetıség Valamennyi az eeebid Kft. hálózatát, kliensgépeit használó munkatárs jelszóval és felhasználói névvel rendelkezik és ennek használatával fér hozzá az eszközökhöz. Mindenki saját egyéni jelszóval rendelkezik, amit rajta kívül senki sem ismer, a jelszó csere hathavonta kötelezı. (Háromhavonta az adminisztrátori jelszavak esetében) Különleges körülmények között az ügyvezetınek átadható, de azt követen a lehetı legrövidebb idın belül új jelszót kell alkalmazni. A szerzıdött partnereink számára átadott jelszavak felhasználásáról a velük kötött szerzıdés tartalmaz elıírásokat. A felhasználói neveket és jelszavakat az ügyfél és a szolgáltatást nyújtó szerver között titkosítva kell továbbítani. A jelszóhasználat legfıbb szabályai: • nem szabad könnyen kitalálható jelszavakat választani: o nem szabad a személyre jellemzı jelszavakat használni (pl. személyes adatok, családtagok, barátok neve, házi kedvenc neve…), o a jelszónak legalább 8 karakter hosszúnak kell lennie o nem szabad sorozatokat használni (pl. abcdefg, 7654321, asdfghj), o kerülni kell a szótári szavak használatát (ezek egy számjeggyel kiegészített változatai sem biztonságosak), o a jelszó tartalmazzon kis- és nagybetőket, lehetıleg számokat és speciális karaktereket is, o a nemzeti billentyőzet állíthatósága miatt nem javasolt az ékezetes karakterek, az Y, a Z és a 0 (nulla) használata, o a jelszónak könnyen megjegyezhetınek, erıs jelszónak kell lennie • a jelszavakat mindenképp titokban kell tartani o a jelszót tilos másoknak elmondani, a jelszóról mások elıtt beszélni, o tilos közös jelszavakat használni (még családtagokkal, barátokkal sem szabad), o a jelszót nem szabad leírni, és elérhetı helyen tárolni (irodában, táskában…), o a jelszót nem szabad semmilyen számítógépes rendszeren titkosítás nélkül (pl. egyszerő szövegfájlban) tárolni, o a jelszót nem szabad telefonon vagy e-mail-ben továbbítani, o ne utaljunk a jelszó tartalmára (pl. „a kedvenc együttesem neve”), o ne használjuk a programok jelszó megjegyzı funkcióját, o a jelszavunkat ne írjuk be kérdıívekbe, őrlapokba, o ha a jelszó kompromittálódott, vagy erre utaló jeleket lehet észlelni, azonnal meg kell változtatni a jelszót, és értesíteni kell az adott rendszer operátorát, illetve az ügyvezetıt, o cseréljük jelszavunkat legalább félévente (adminisztrátori jelszavaknál az ajánlott periódus 3 hónap), o a jelszavak véletlen támadásoknak is áldozatul eshetnek, ezért fontos a rendszeres jelszócsere,
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
8/12
Informatikai biztonsági szabályzat • az induló jelszót az elsı bejelentkezéskor meg kell változtatni, • a jelszavakat rendszeres idıközönként cserélni kell (adminisztrátori jelszó esetén havonta ajánlott, egyéb esetben félévente), • új jelszónak nem szabad az utolsó 5 régi közül egyiket sem megadni, • ha a felhasználónak gyanúja támad, hogy jelszava kompromittálódhatott, azonnal meg kell változtatnia, • 5 sikertelen próbálkozás után a felhasználói fiók zárolandó, • a jelszavakat nem szabad kódolatlanul tárolni, • azon személyek, akik különbözı rendszerekhez, illetve több felhasználói azonosítóval is rendelkeznek, a különbözı rendszerekhez, azonosítókhoz különbözı jelszavakat kell használniuk, • ahol lehetséges, a jelszavakra vonatkozó alapszabályokat (jelszóhossz, jelszócsere, elızı jelszavak megadásának tilalma) az adott informatikai rendszer segítségével ki kell kényszeríteni. 8. Mentések, archiválások Az eeebid Kft. munkatársai valamennyi elkészíttetet dokumentumot, rögzített adatot, adatbázist tárolnak. A szerver tükrözött merevlemezekkel (Raid) rendelkezik, ami nagyban növeli az adatok megırzési biztonságát. Ha a fizikai lemezek egyike meghibásodik, a hibás lemezen lévı adatok elérhetetlenné válnak ugyan, de a rendszer a hibátlan lemezt használva továbbra is mőködıképes marad. A tükrözött kötet egyes lemezeihez külön lemezvezérlıt használ, ez nagyobb hibatőrést eredményez, és lehetıvé teszi, hogy a számítógép a merevlemez vagy a merevlemez-vezérlı meghibásodása esetén is tovább mőködjön. Teszteléssel kell meggyızıdni arról, hogy, az operációs rendszer bármelyik tükörrıl elindítható valamelyik lemez meghibásodása esetén. A szerveren tárolt legfontosabb adatokról rendszeresen teljes archiválást végzünk külsı optikai adathordozóra. (DVD kéthetente) Az adathordozóra mentett állományt olvasási próbának kell kitenni. Az archiválás elvégzésének erre kijelölt felelıse van, akinek az adathordozókról nyilvántartást kell vezetni. Az adathordozókat a gyors és egyszeri elérés, a nyilvántartás és a biztonság érdekében azonosítóval (sorszámmal) kell ellátni. Az archiválásokat tartalmazó adathordozókat minden esetben a szervertıl elkülönített helyiségben kell ırizni, zárható szekrényben. A mentéseket tartalmazó adathordozókon jól láthatóan fel kell tüntetni a mentett rendszer (adatállomány) nevét, a mentés típusát és idejét. Legalább évente visszatöltési kísérletet kell végezni a technika megfelelıségének ellenırzése érdekében.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
9/12
Informatikai biztonsági szabályzat
Az iroda helyszínétıl távol, a cégcsoport egyik biztonságosan tárolt szerverén tárolja az eeebid Kft. a legfontosabb dokumentumait erre naponta készít teljes mentéseket, heti felülírással, így egy esetleges incidens, rendszerösszeomlást követıen visszanyerhetık. 9. Elektronikus levelezés Az eeebid Kft. valamennyi munkatársa rendelkezik saját email fiókkal és az ahhoz tartozó azonosítókkal. A Kft. mail szervert mőködtet, amelyet folyamatosan felügyelnek közvetlen kártevı és spamszőréssel láttak el, valamint a levelezést naplózzák. A mail szerverrıl a kliens gépekre érkezı levelek felhasználói szőrés és szelektálást követıen a szerverre kerülnek, ahonnan az archiválásuk (DVD) megtörténik. A levelezéssel kapcsolatos alapszabályok: • a levelek nem képviselhetnek a hatályos magyar jogszabályokba ütközı magatartásformát, • a levelek nem sérthetik mások becsületét, emberi jogait, faji, nemzetiségi hovatartozását, vallási, politikai világnézetét, • a levelek tartalma nem sérthet meg szerzıi és szomszédos jogokat, • a levelek nem ronthatják az Kft. hírnevét, megítélését, nem terjeszthetnek róla szándékosan valótlan információkat, • a levelezés nem veszélyeztetheti a hálózati infrastruktúra mőködését. • a levelezési rendszeren tilos biztonsági szempontból érzékeny anyagot, üzleti titkot illetéktelen személy részére hozzáférhetıvé tenni, • a levelezési cím kötött, azt az eeebid Kft. munkatársa önhatalmúlag nem változtathatja meg. 10.
Vírusvédelem
Az eeebid Kft. valamennyi számítógépét (szerver és kliens gépek) megfelelı vírus és kártevı védelmi szoftverrel látja el. Olyan szoftver licencet vásárol és idıszakosan újít meg, amely szoftver a nemzetközi teszteken elıkelı helyet foglal el. A vírusvédelmet menedzseli és figyeli az esetleges incidenseket, ettıl függetlenül a Kft. valamennyi dolgozójának megfelelı ismeretekkel kell rendelkeznie a vírusvédelemmel kapcsolatosan. A vírusvédelmi programnak rezidens módban kell futnia, így az minden egyes rendszerindításkor aktivizálódik, és állandó háttérvédelmet biztosít. A felhasználóknak nem szabad kikapcsolni ezt a védelmet. Idıszakosan, de legalább heti egy alkalommal minden gépen teljes vírusellenırzést kell végrehajtani (a vírusvédelmi szoftver támogatja az idızített keresési funkciót). A vírusvédelmi program vírusdefiníciós adatbázisát a lehetı leggyakrabban frissíteni kell. Ha erre lehetıség van, az automatikus frissítést kell választani, így az új elemek rögtön megjelenésük után felkerülhetnek a rendszerre. Idegen helyrıl származó adattárolókon (floppy, HDD, CD-DVD) használat elıtt vírusellenırzést kell végezni.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
10/12
Informatikai biztonsági szabályzat
Soha nem szabad ismeretlen vagy gyanús helyrıl fájlokat letölteni. Vírusfertızés gyanús helyzetek: • a víruskeresı program névvel azonosított vírust jelez. A lehetı legerısebb vírusjegy, • fájl másolása esetén az újonnan keletkezett és az eredeti példány hossza eltérı, nagyon erıs vírusjegy. • szokatlan és váratlan képernyı tevékenység (szokatlan üzenetek, ablakok megjelenése), erıs vírusjegy, • szokatlan számítógép- vagy programviselkedés (pl. programok maguktól elindulnak), általánosan erıs vírusjegy. Ha az operációs rendszer újraindítása után is fennáll, erıs vírusjegynek tekinthetı. • a rendszer mőködése többszöri újraindítás után is egyértelmően lassabb a megszokottnál. Átlagosan erıs vírusjegy. Helytelen rendszerkonfiguráció is okozhatja. Teendık vírusfertızés esetén: • tájékoztatni kell a vírusvédelemért felelıs személyt (anya vállalatnál felügyelı operátort, ügyvezetıt) a fertızésrıl vagy annak gyanújáról, • a számítógépet újra kell indítani egy elıkészített, vírusmentes, a használt operációs rendszert és a vírusvédelmi program legfrissebb változatát tartalmazó lemezrıl. Ha ez nem lehetséges, akkor védett módban kell újraindítani a gépet csak a legszükségesebb szolgáltatásokkal (lehetıleg hálózati kapcsolat nélkül), • a vírusvédelmi szoftvert elindítjuk, és megszüntetjük a vírusfertızést. Ez történhet elsıdlegesen a fertızött állomány javításával (a vírus eltávolítása), ha erre lehetıség van, egyébként a fertızött állomány törlésével. Ez utóbbi esetben ügyelni kell arra, hogy nem rendszerállományról van-e szó. • a víruskeresést addig kell végezni, amíg el nem éri a rendszerfelelıs, hogy a víruskeresı program úgy fusson végig az összes állományon, hogy fertızött állományt már nem talál, • Ezek után a rendszer újraindítható a szokott módon. 11.
Fogalmak, rövidítések
Aktív hálózati eszköz: kapcsolók (switch-ek), forgalomirányítók (router-ek), vezeték nélküli hozzáférési pontok és egyéb eszközök, amelyek segítségével a hálózat üzemvitele biztosítható.
Archiválás: valamely adat (fájl, e-mail, adatbázis-rekord stb.) áthelyezése olyan adathordozóra, amelyen azután az adat minısítésének megfelelı ideig megırizhessük az archivált adatot. Az archiválást azért végezzük, hogy (többnyire olcsó) adathordozón meghatározott (többnyire szabályozott) ideig megırizzük az adatainkat. Az archiválásnál általában cél a kereshetıség biztosítása. Csomópont: szerver feladatokat ellátó eszközök és aktív eszközök csoportja, az informatikai szolgáltatások ellátására.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
11/12
Informatikai biztonsági szabályzat
DNS: az internet neveket és címeket egymáshoz rendelı adatbázis, mely általában külön kiszolgáló gépen fut. Felhasználó: az a természetes személy, aki az Informatikai Infrastruktúrát használja
Felhasználói azonosító: Az eeebid Kft. által rendelkezésre bocsájtott (ID) azonosítók, amelyek egyedi azonosításra szolgálnak, általában véletlenszerően generált rövid karaktersorozat. Hálózat: felhasználói számítógépek és/vagy szerverek közötti adatátvitelt biztosító passzív és aktív eszközökbıl álló infrastruktúra. Informatikai erıforrások: a hardver, szoftver eszközök összessége. Internet: a világháló. Intranet: az eeebid Kft. telephelyén belüli hálózat és annak szolgáltatásai. Mentés: valamely adatról (fájl, e-mail, adatbázis-rekord stb.) másolat készítése az adatvesztés elkerülése érdekében. A mentést azért végezzük, hogy vész esetén az adatokat helyreállíthassuk. Passzív eszközök: hálózati kábelezés és csatlakozók. Számítógép: olyan informatikai eszköz, amelyet a felhasználó a napi munkája során használ, és amellyel igénybe veheti a hálózat szolgáltatásait. Szerver-feladatokat ellátó eszköz: olyan számítógépek, szoftverek, vagy speciális eszközök, amelyek különbözı szolgáltatásokat biztosítanak más számítógépek számára. Tőzfal: olyan kiszolgáló eszköz (számítógép vagy program), amelyet a lokális és a külsı hálózat közé, a csatlakozási pontra telepítenek, annak érdekében, hogy az illetéktelen behatolásoknak ezzel is elejét vegyék. Ezzel együtt lehetıvé teszi a kifelé irányuló forgalom, tartalom ellenırzését is. VLAN: a hálózat egy meghatározott része a feladatoknak megfelelıen, logikai csoportba van szervezve.
12.
Vonatkozó jogszabályok
A vonatkozó jogszabályokat a MIE-01 eljárásban szabályozottak alapján a jogszabály nyilvántartás tartalmazza.
Dok: ITBSZ-01 Kiadás: 2. Dátum: 2008-05-15.
12/12
